Popüler dosya sıkıştırma aracı 7-Zip’te daha önce bilinmeyen bir sıfır gün güvenlik açığı, NSA çalışanı olduğunu iddia eden anonim bir kullanıcı tarafından kamuya açıklandı.
X’te (eski adıyla Twitter) yapılan açıklama, hem bireysel kullanıcılar hem de dünya çapındaki kuruluşlar için geniş kapsamlı sonuçlar doğurabilecek ciddi bir güvenlik kusurunu ortaya koyuyor.
GBHackers yakın zamanda, popüler dosya sıkıştırma aracı olan 7-Zip’te, uzaktaki saldırganların özel hazırlanmış arşivler aracılığıyla kötü amaçlı kod çalıştırmasına olanak tanıyan ciddi bir güvenlik açığının keşfedildiğini bildirdi.
Güvenlik Açığı Ayrıntıları ve Etkisi
Yeni keşfedilen güvenlik açığı, 7-Zip’in LZMA kod çözücüsünü hedef alıyor ve saldırganların kurbanların makinelerinde, tehlikeye atılmış .7z dosyalarını açmasını veya çıkarmasını sağlayarak kötü amaçlı kod çalıştırmasına olanak tanıyor.
“Bu sıfır gün kusuru, 7-Zip’in LZMA kod çözücüsünde yatıyor ve RC_NORM işlevinde bir arabellek taşmasını tetiklemek için hatalı biçimlendirilmiş bir LZMA akışından yararlanıyor.”
“Saldırganlar arabellek işaretçilerini manipüle ederek ve yükleri hizalayarak kabuk kodunu çalıştırabilir ve bu da keyfi kod yürütmeyle sonuçlanabilir.”
Güvenlik uzmanları, saldırı senaryolarında geleneksel parola korumalı arşiv dosyalarına olan ihtiyacı ortadan kaldırdığı için, bu istismarın bilgi hırsızı kötü amaçlı yazılımlarla birleştirildiğinde özellikle yıkıcı olabileceği konusunda uyarıyor.
“Bu güvenlik açığı, tehdit aktörlerinin kötü amaçlı yazılımları dağıtma biçiminde önemli bir değişikliği temsil ediyor.
“Kullanıcının yalnızca .7z dosyasını açmasını gerektiren saldırı vektörünün basitliği onu özellikle tehlikeli kılıyor.”
Bu güvenlik açığının tedarik zinciri güvenliği üzerindeki potansiyel etkisi özellikle endişe vericidir. Pek çok kuruluş, arşivlenmiş dosyaları işlemek için otomatik sistemler kullanıyor ve bu sistemlerden yararlanılması durumunda yaygın risklerin ortaya çıkması için mükemmel bir fırtına yaratma potansiyeli bulunuyor. Operasyonlarında düzenli olarak üçüncü taraf .7z dosyalarını kullanan şirketler özellikle risk altındadır.
Siber güvenlik topluluğu bu açıklamaya hızlı bir şekilde yanıt verdi ve uzmanlar acil koruyucu önlemler alınmasını önerdi:
- Hemen Yama Yapın: 7-Zip güvenlik açığına yönelik bir yama henüz yayınlanmamış olsa da, kullanıcıların ve kuruluşların dikkatli olmaları, güncellemeleri izlemeleri ve kullanılabilir hale gelir gelmez bunları uygulamaları tavsiye ediliyor.
- Azaltma Stratejileri: Kuruluşlar, maruz kalmayı en aza indirmek için üçüncü taraf dosyalarının işlenmeden önce incelenmesi ve korumalı alana alınması gibi sıkı kontroller uygulamalıdır.
- Farkındalık Eğitimi: Kötüye kullanım riskini azaltmak için kullanıcıları, istenmeyen veya şüpheli arşiv dosyalarını tanımaları ve açmaktan kaçınmaları konusunda eğitin.
- Topluluk Teyakkuzu: Siber güvenlik araştırmacıları ve profesyonelleri, bu güvenlik açığıyla ilişkili ortaya çıkan tehditleri araştırmak ve bunlara çözüm bulmak için birlikte çalışmalıdır.
Endişeye ek olarak, aynı isimsiz kaynak, MyBB forum yazılımını hedef alan ve potansiyel olarak sayısız çevrimiçi topluluğun güvenliğini tehdit eden başka bir sıfır gün güvenlik açığı yayınlamayı planladığını belirtti.
Yayınlanma tarihi itibarıyla 7-Zip güvenlik açığına yönelik resmi bir yama yayınlanmadı. Yazılımın geliştirme ekibi bu açıklama hakkında henüz kamuya açık bir yorumda bulunmadı.
Kuruluşların ve kullanıcıların, güvenlik güncellemeleri için resmi kanalları izlemeleri ve önerilen risk azaltma stratejilerini derhal uygulamaları tavsiye edilir.
“Bu, siber güvenlik uzmanları için kritik bir an. 7-Zip gibi yaygın olarak kullanılan bir araç ile kullanım kolaylığının birleşimi, bu güvenlik açığını özellikle endişe verici hale getiriyor.”
Dünya çapındaki güvenlik uzmanları, 7-Zip’in geliştirme ekibinden resmi bir yanıt beklerken bu açıktan yararlanmanın sonuçlarını analiz etmeye devam ediyor.
Kullanıcılara ve kuruluşlara, bir yama çıkana kadar dikkatli olmaları ve önerilen güvenlik önlemlerini uygulamaları şiddetle tavsiye edilir.
Güncelleme:
7-Zip’in yaratıcısı Igor Pavlov’un, 7-Zip tartışma forumunun hatalar bölümündeki iddiaları şöyle reddettiğini öğrendik: “Twitter’daki bu rapor sahte. Bu Twitter kullanıcısının neden böyle bir iddiada bulunduğunu anlamıyorum. 7-Zip/LZMA’da ACE güvenlik açığı yok.”
@NSA_Employee39 hesabı, sosyal medyadaki yorum taleplerine hemen yanıt vermedi.